indice dei contenuti - fpaarchive.forumpa.it/archivio/0/200/220/228/allegato... · § schema per il...

Decreto Ministro dell’Interno CIE – Allegato B pag. 1/42

Indice dei contenuti

1. INTRODUZIONE...........................................................................................................................................................3

1.1 BIBLIOGRAFIA DI RIFERIMENTO E STANDARD UTILIZZATI..................................................................................31.2 STRUTTURA DELLA CARTA.......................................................................................................................................3

2. INFRASTRUTTURA ORGANIZZATIVA (FA RIFERIMENTO ALL’ART.3 DEL D.M.) ....................4

3. INFRASTRUTTURE TECNICHE E DI RETE.....................................................................................................6

3.1 DOTAZIONI DEL SSCE (FA RIFERIMENTO ALL’ART . 6 DEL D.M.) .....................................................................63.2 DOTAZIONI DEI COMUNI...........................................................................................................................................6

3.2.1 Dotazioni hardware (fa riferimento all’art. 10, comma 1 del D.M.)..................................................... 63.2.2 Dotazioni hardware minimale (fa riferimento all’art. 13, comma 2 del D.M.) ................................... 63.2.3 Dotazioni software applicativo (fa riferimento all’art. 6, comma 1 del D.M.).................................... 73.2.4 Modalità di connessione al Sistema di Sicurezza del Circuito di Emissione (SSCE) ........................ 7

4. MATERIALI E STANDARD DI RIFERIMENTO...............................................................................................8

4.1 SUPPORTO FISICO (FA RIFERIMENTO ALL’ART . 7, COMMA 1 DEL D.M.)...........................................................84.1.1 Dimensioni nominali e le componenti........................................................................................................ 8

4.2 CARTA A MEMORIA OTTICA (FA RIFERIMENTO ALL’ART . 8, COMMA 1 DEL D.M.) .........................................84.3 MICROPROCESSORE (FA RIFERIMENTO ALL’ART . 8, COMMA 1 DEL D.M.) ......................................................94.4 DATI (FA RIFERIMENTO ALL’ART . 13, COMMA 1, LETTERA D DEL D.M.) ......................................................10

5. MISURE DI SICUREZZA (FA RIFERIMENTO ALL’ART. 4 DEL D.M.)...............................................11

5.1 SICUREZZA DEL SUPPORTO FISICO........................................................................................................................115.1.1 Elementi di sicurezza grafici e di stampa ................................................................................................115.1.2 Inchiostri........................................................................................................................................................115.1.3 Numerazione di serie...................................................................................................................................115.1.4 Applicazione di elementi Optical Variable Device (OVD )...................................................................11

5.2 SICUREZZA DELLA FASE DI PERSONALIZZAZIONE..............................................................................................115.3 AFFIDABILITÀ DEI DATI..........................................................................................................................................12

5.3.1 Laser su banda ottica ..................................................................................................................................125.3.2 Microcircuito ................................................................................................................................................12

5.4 SICUREZZA DEL CIRCUITO (FA RIFERIMENTO ALL’ART . 6, COMMA 1 DEL D.M.)..........................................135.4.1 Sicurezza degli accessi ai dati (fa riferimento all’art. 6 del D.M.) .....................................................135.4.2 Sicurezza della carta ...................................................................................................................................145.4.3 Furto della carta "attivata" o documento in bianco ..............................................................................155.4.4 Controlli a vista ............................................................................................................................................155.4.5 Lista dei documenti interdetti (fa riferimento all’art. 6, comma 2 del D.M.) ....................................155.4.6 Software di sicurezza distribuito ai comuni (fa riferimento all’art. 6, comma 1 del D.M.) ............16

6. SERVIZI EROGABILI IN RETE (FA RIFERIMENTO ALL’ART. 5 DEL D.M.)..................................17

6.1 LE LISTE DEI SERVIZI E LA LISTA DELLE CARTE INTERDETTE (BLACK-LIST ) ..................................................176.2 MODALITÀ DI RICONOSCIMENTO IN RETE ...........................................................................................................18

6.2.1 Crypto Middleware ed API PKCS#11......................................................................................................186.2.2 Processo di Strong Authentication ............................................................................................................196.2.3 Comandi di gestione utilizzati dalla Strong Authentication .................................................................20

6.3 CONSIDERAZIONI SULLA INTEROPERABILITÀ .....................................................................................................206.3.1 Algoritmi ........................................................................................................................................................21


6.3.2 Formati...........................................................................................................................................................216.4 STRONG AUTHENTICATION LATO SERVER..........................................................................................................21

6.4.1 Server Authentication Middleware............................................................................................................226.5 L'INSTALLAZIONE DEI SERVIZI..............................................................................................................................236.6 L'AGGIORNAMENTO DEI DATI RELATIVI ALLA FRUIZIONE DEI SERVIZI...........................................................236.7 AUTENTICAZIONE ESTERNA ..................................................................................................................................236.8 SECURE MESSAGING...............................................................................................................................................25

7. PROCESSO DI EMISSIONE....................................................................................................................................26

7.1 PRODUZIONE DI BANDA LASER E MICROPROCESSORE........................................................................................267.2 PRODUZIONE ED INIZIALIZZAZIONE DELLA CARTA D’IDENTITA ELETTRONICA E DEL DOCUMENTO

ELETTRONICO........................................................................................................................................................................277.2.1 Struttura delle informazioni sulla banda ottica......................................................................................277.2.2 Struttura delle informazioni nel microprocessore..................................................................................32

7.3 LE FASI PRELIMINARI..............................................................................................................................................367.3.1 Generazione numeri identificativi per le carte d’identità ed i documenti elettronici. .....................367.3.2 Produzione ....................................................................................................................................................367.3.3 Inizializzazione .............................................................................................................................................367.3.4 Attivazione.....................................................................................................................................................37

7.4 PERSONALIZZAZIONE ED EMISSIONE DELLE CARTE...........................................................................................387.4.1 Ricezione dei documenti in bianco (fa riferimento all’art. 12 del D.M.)............................................38

7.4.1.1 Sottofase di compilazione............................................................................................................................387.4.1.2 Sottofase di autorizzazione ..........................................................................................................................397.4.1.3 Sottofase di formazione ...............................................................................................................................397.4.1.4 Sottofase di rilascio ......................................................................................................................................397.4.1.5 Sottofase di verifica e controllo ...................................................................................................................40

8. VERIFICA DELLE CIE (FA RIFERIMENTO ALL’ART. 6, COMMA 1 DEL D.M.) ...........................41

8.1 CONSERVAZIONE DEL CARTELLINO ELETTRONICO (FA RIFERIMENTO ALL’ART . 6, COMMA 3 DEL D.M.).418.2 INTERDIZIONE DELL’OPERATIVITÀ DELLA CIE (FA RIFERIMENTO ALL’ART . 6, COMMA 2 DEL D.M.).......41


1. Introduzione

1.1 Bibliografia di riferimento e standard utilizzati

§ Schema per il circuito di emissione della Carta di Identità elettronica,Roma 22 dicembre 1999 – AIPA /Associazioni dei fornitori – Gruppo di lavoro Cartad’Identità Elettronica;

§ Processo di autenticazione in rete. Roma 22 dicembre 1999 – AIPA /Associazioni deifornitori – Gruppo di lavoro Carta d’Identità Elettronica;

§ CCITT X 208 per le Abstract Sintax Notation One(ASN.1);§ CCITT X 209 per le Basic Encoding Rules ( BER) della sintassi ASN.1;§ RSA Laboratories Technical Notes : A Layman’s Guide to a Subset of ASN.1 , BER

and DER (Distinguished Encoding Rules);§ CCITT X509 versione 3 per il formato dei Certificati Digitali, le estensioni e le policy;§ 2 FIPS 180-1 per la funzione di Hash SHA-1;§ FIPS 46 per il Data Encryption Standard;§ RSA 78 Rivest,Shamir,Aldeman. A method for obtaining digital signatures and public key

Cryptosystems;§ PKCS#1 per il formato dei dati da sottoporre ad autenticazione;§ PKCS#7 per la sintassi dei dati da sottoporre ad autenticazione;§ PKCS#9 per i “selected attribute type “ da utilizzare nella sintassi PKCS#7 e PKCS#10;§ PKCS#10 per la sintassi delle richieste di certificazione di chiavi pubbliche;§ ISO/IEC 11694-1-2-3-4 Annex A e Annex B per la parte relativa alla banda ottica;§ ISO/IEC 7816-1-2-3-4-5-6-7-8-9 per la parte relativa al microchip.

1.2 Struttura della carta

La carta d’identità elettronica ( CIE ) è una carta ibrida, in grado di integrare nel supportofisico sia una banda a memoria ottica che un microprocessore.

La banda ottica a lettura laser è utilizzata per la memorizzazione dei “dati” identificativi (D.M.Art. 1, comma 1, lettera f) ai fini della salvaguardia delle esigenze di pubblica sicurezza. L’elevatacapacità di memoria disponibile, utilizzata per la memorizzazione di immagini o di informazioni digrosso volume, associata alla capacità elaborativa del microchip, può consentirne un utilizzo anche perla fruizione di servizi locali o nazionali.

Il microprocessore è utilizzato per assolvere le funzioni di “carta servizi” (DM Art. 1, comma 1,lettera g), per consentire l'identificazione in rete e, quindi, l'erogazione di servizi telematici.

Le caratteristiche grafiche della CIE (D.M. art. 7, comma 3), unitamente al dettaglio delleinformazioni presenti, sono riportate nell’allegato A.


2. Infrastruttura organizzativa (fa riferimento all’art.3 del D.M.)

Nel circuito di emissione intervengono gli enti nel seguito descritti:

Fornitori di microprocessori: Aziende produttrici dei microprocessori.Provvedono alla fornitura dei microprocessori, durante laproduzione memorizzano, in area non riscrivibile, un codiceseriale composto di un numero progressivo, dal lotto e dalla datadi produzione. Il numero deve essere univoco. Ogni consegna dilotti di chip, deve essere accompagnata da distinta cartacea edelettronica dalla quale si evinca il numero di microprocessoriconsegnati ed i relativi numeri seriali impressi al loro interno.Acronimo Fp

Fornitori di bande laser; Aziende produttrici della banda ottica a lettura laser.Provvedono alla fornitura delle bande ottiche a lettura laser,durante il processo di produzione imprimono, tramite scritturalaser, un codice seriale composto di un numero progressivo, dallotto e dalla data di produzione. Il numero deve essere univoco.Ogni consegna di lotti di bande ottiche, deve essereaccompagnata da distinta cartacea ed elettronica dalla quale sievinca il numero di bande ottiche consegnate ed i numeri serialiimpressi al loro interno.Acronimo Fb

Istituto Poligrafico e Ente a cui è riservata la produzione del documento.Zecca dello Stato: Provvede alla manifattura delle carte, all’inserimento (embedding)

della banda ottica e del microprocessore nel supporto fisico,nonchè alla inizializzazione elettrica di quest’ultimo.Memorizza nel chip, ai fini della garanzia di autenticità, nellabanda ottica tramite laser e nella banda ottica in modalità“Embedded hologram” il numero d’identificazione univoco suscala nazionale, fornitogli dal Sistema di Sicurezza del Circuito diEmissione, ed inscindibilmente legato ad essa.Imprime lo stesso numero in maniera grafica sul supporto fisico estampa gli elementi grafici costanti (logo, sfondo, etc.).Contabilizza i numeri seriali che identificano il lotto e la data diproduzione del chip e della banda ottica.

Trasmette le informazioni risultanti dalle procedure diinizializzazione al Sistema di Sicurezza.Acronimo IPZS

Ministero dell’Interno Ente che fornisce le infrastrutture tecnologiche e garantisce laSistema di Sicurezza del. sicurezza dell’intero circuito di emissioneCircuito di Emissione: In attuazione dell’art. 8, comma 4, del DPCM del 22 ottobre

1999, n 437, il Ministero dell’Interno – Dipartimento della


Pubblica Sicurezza mette a disposizione l’infrastrutturaorganizzativa, informatica e di rete del Centro Elaborazioni Datidella Polizia Scientifica, per la realizzazione, la gestione emanutenzione del Sistema di sicurezza del circuito d’emissione.Al fine di garantire la sicurezza dell’intero circuito di emissioneha la responsabilità di verificare e certificare qualunqueoperazione che comporti l’inserimento, la modifica o lacancellazione delle informazioni (in particolare i datiidentificativi) memorizzate sul microprocessore o sulla bandaottica, eccezion fatta per i dati relativi alla predisposizione ederogazione dei servizi

Ai fini della garanzia di autenticità, genera per ogni carta unnumero di identificazione univoco, su scala nazionale, chetrasmette all’IPZS.Tramite collegamenti telematici consente alle singole Questure diaccedere ai documenti, conservati in forma cifrata presso ilsistema.Ciascuna Questura, e solo essa, può decrittare i documenti di suacompetenza, ovvero quelli rilasciati dai Comuni della stessaProvincia.Acronimo SSCE

Ministero dell’Interno Sistema di Accesso e Interscambio AnagraficoSAIA: Sistema di interscambio dati anagrafici tra le procedure

informatiche delle diverse Amministrazioni Pubbliche per fornireservizi integrati al cittadino focalizzando sul Comune laregistrazione di tutti gli eventi che comportano un aggiornamentodelle informazioni anagrafiche riportate nelle diverse banche datisettoriali della P.A..Acronimo SAIA

Emettitore: Ente responsabile della formazione e del rilascio.E’ il Comune al quale il cittadino si rivolge per richiedere la CIE.Acronimo E


3. Infrastrutture tecniche e di rete

3.1 Dotazioni del SSCE (fa riferimento all’art. 6 del D.M.)

Ai fini dell’emissione della CIE, il sistema di sicurezza del circuito d’emissione (SSCE) sicompone di:

§ connessione alle reti di accesso;§ funzioni di “security service provider” per consentire l’accesso, con modalità di sicurezza,

dei Comuni tramite Internet;§ rete digitale delle Questure (già presente) per consentire la visualizzazione e la stampa dei

Cartellini Elettronici alle Questure competenti;§ connessione diretta con l’IPZS per l’interscambio d’informazioni nella fase

d’inizializzazione;§ software di sicurezza versione server per le funzionalità connesse alle diverse fasi di

formazione della CIE.

3.2 Dotazioni dei Comuni

3.2.1 Dotazioni hardware (fa riferimento all’art. 10, comma 1 del D.M.)

Nel seguito è riportata la configurazione di massima degli apparati hardware necessari per laformazione della CIE. Le apparecchiature proposte possono subire variazioni in funzionedell’architettura del sistema informativo dei singoli comuni.

1) Personal Computer di fascia alta;2) Stampante ad impatto per l’impressione del PIN sulla carta chimica retinata;3) Lettore/scrittore di banda ottica. Il lettore deve essere provvisto anche di un lettore di

microprocessore, al fine di evitare problemi di allineamento delle informazioni.4) Lettore scrittore di microprocessore;5) Stampante termografica per l’impressione sul supporto fisico dei dati del titolare. Anche la

stampante termografica deve essere provvista di lettore di microprocessore;6) Scanner per la digitalizzazione della firma e, eventualmente, della fotografia del titolare;7) Videocamera per la produzione digitalizzata della fotografia del titolare;8) Scanner per l’assunzione delle impronte digitali. Lo scanner deve acquisire ad una risoluzione

di 500 dpi;9) Apparecchiatura per l’applicazione sul fronte del documento, di un “overlay” di sicurezza..

3.2.2 Dotazioni hardware minimale (fa riferimento all’art. 13, comma 2 del D.M.)

Nel seguito è riportata la configurazione minima degli apparati hardware necessari per laformazione del la CIE in caso il comune si avvalga, in via transitoria, dell’IPZS. Le apparecchiatureproposte possono subire variazioni in funzione dell’architettura del sistema informativo dei singolicomuni.

1) Personal Computer di fascia alta;


2) Scanner per la digitalizzazione della firma e, eventualmente, della fotografia del titolare;3) Videocamera per la produzione digitalizzata della fotografia del titolare;4) Scanner per l’assunzione delle impronte digitali. Lo scanner deve acquisire ad una risoluzione

di 500 dpi;

3.2.3 Dotazioni software applicativo (fa riferimento all’art. 6, comma 1 del D.M.)

I comuni, per le attività inerenti la formazione ed il rilascio delle CIE, saranno dotati di specificosoftware applicativo di sicurezza, sviluppato e distribuito da SSCE.

Tale software avrà la possibilità di interoperare con i sistemi informativi dei comuni.

3.2.4 Modalità di connessione al Sistema di Sicurezza del Circuito di Emissione (SSCE)

L’interconnessione a SSCE avverrà secondo le seguenti modalità di trasporto:- tramite rete unitaria della Pubblica Amministrazione (RUPA);- tramite altre reti a cui sono connesse le amministrazioni locali;- - tramite internet.

In tutti i casi e’ necessario l’utilizzo del software di sicurezza versione client.

Il software consente di eseguire le funzioni necessarie per l’acquisizione dei dati del titolare, utilialla formazione del documento, e quelle per operare, con modalità di sicurezza, le connessioni aSSCE.


4. Materiali e standard di riferimento

4.1 Supporto fisico (fa riferimento all’art. 7, comma 1 del D.M.)

4.1.1 Dimensioni nominali e le componenti

Il supporto fisico deve essere conforme alle norme che regolamentano i Documenti di IdentitàInternational Standards Organization (ISO)/IEC 7816-1, 7816-2 .

Le dimensioni nominali dovranno essere di 53,98 x 85,6 mm come specificato nella normaISO/IEC 7810: 1995 per la carta di tipo ID-1. La tolleranza, nelle dimensioni, è quella definita dallanorma stessa.

Lo spessore della CIE, compresi i film di protezione, dovrà essere conforme alla normaISO/IEC 7810: 1995.

La CIE, sarà costituita da materiali plastici compatibili con gli strumenti tecnologici in essacontenuti, nonchè con i sistemi di personalizzazione utilizzati per la sua compilazione.

La CIE, per un uso normale nel periodo di validità, dovrà rispondere alle specifiche definite:§ nella norma ISO/IEC 7810: 1995 relativamente a: deformazioni, tossicità, resistenza ad

agenti chimici, stabilità dimensionale ed inarcamento con temperatura e umidità,inarcamento con l’uso, infiammabilità e durata.

§ nella norma ISO/IEC 11693 per la contaminazione, per la trasmissione della luceattraverso lo spessore della carta e per la resistenza agli agenti atmosferici ed ai test dicompatibilità con l’ambiente.

Per quanto attiene alla presenza del microchip la CIE, per un uso normale durante il periodo divalidità, deve rispondere alle specifiche definite nella norma ISO/IEC 7816 - 1.

L’area a memoria ottica della CIE, per un normale uso durante il periodo di validità, deverispondere alle specifiche definite dalle norme ISO/IEC 11693, 11694-1, 11694-2, 11694-3, 11694-4.

4.2 Carta a memoria ottica (fa riferimento all’art. 8, comma 1 del D.M.)

La carta ottica è realizzata in policarbonato, un materiale plastico di provenienza aeronautica,1.000 volte più resistente del PVC, che garantisce un’ottima trasparenza per la scrittura su bandaottica, una elevata resistenza, una maggiore durata nel tempo ed un intervallo termico di utilizzo moltoampio (-40° +100°).

Il film è composto da diversi strati di materiale ed il supporto ottico registrabile è incapsulatotra due livelli di materiale protettivo trasparente che (sulla faccia esterna) è rinforzato da un ulteriorestrato “antigraffio”.


La capacita’ di memoria della carta ottica utilizzata, nella dimensione adottata, è di circa 1,8MByte.

Ogni carta ottica permette la creazione di settori variabili basati su tracce, consentendo cosìl’archiviazione di informazioni multiple ed indipendenti.

Le carte ottiche, rispondono allo standard ISO/IEC 11694.

4.3 Microprocessore (fa riferimento all’art. 8, comma 1 del D.M.)

E’ composto da un circuito stampato, che esercita le funzioni di interfaccia verso l'esterno, e daun circuito integrato (chip), incastonati sulla scheda.

La capacità di elaborazione propria del microcircuito (chip), che lo distingue da qualunque altrosupporto "passivo", permette di classificare la CIE come una “smart card” (carta intelligente) .

La presenza di un vero sistema operativo e di una memoria riscrivibile e non volatile(EEPROM) rende possibile proteggere i dati memorizzati ed eseguire istruzioni e programmi, in mododel tutto simile ad un vero computer.

La caratteristica, propria del microcircuito, di poter nascondere informazioni all'esterno di esso,ed al contempo di poter eseguire istruzioni o programmi interni, rende possibile il riconoscimentosicuro della carta per via telematica e la conseguente ed immediata erogazione dei servizi.

In particolare, la presenza del microcircuito sulla carta d'identità elettronica rende possibili:

§ l'identificazione sicura, per via telematica, della carta (e del suo titolare) da parte di un serverremoto, sede di un servizio erogato;

§ l'identificazione, per via telematica, del servizio remoto da parte della carta (il titolare dellacarta deve essere sicuro che il servizio cui accede - senza poterlo "fisicamente" vedere - siaautentico, altrimenti potrebbe esporre i dati sensibili, memorizzati sulla carta, a lettura nonautorizzata o addirittura a contraffazione non rilevata);

§ la possibilità di stabilire un canale sicuro di comunicazione tra la CIE ed il server remotoattraverso la cifratura delle informazioni. Il canale cifrato deve quindi "attraversare"l'applicazione client (ad es. il browser) utilizzata per accedere al servizio, al fine di evitare lapossibilità di un "attacco nel mezzo".

La capacità di memoria del microcircui.to, in larga parte offerta dalla sua memoria riscrivibilee non volatile (EEPROM), varia attualmente da 2 a 32 Kb con una rapida evoluzione a 64 Kb.

Per la CIE, è richiesta una memoria EEPROM dalla capacità non inferiore a 16 Kb.

Un'altra caratteristica del microcircuito è la presenza di un coprocessore crittografico, cherende estremamente veloci le operazioni di cifratura e di decifratura. Il motore crittografico presentesulla CIE è in grado di eseguire, in modalità nativa, almeno l'operazione di RSA signature con chiavinon inferiori a 1024 bit.

Il circuito stampato, che protegge il chip dallo sforzo meccanico e dall'elettricità statica, deveessere conforme alla norma ISO 7816-3 che fornisce cinque punti di collegamento per potenza e dati.

Gli standard di riferimento, per il microcircuito e per i comandi del sistema operativo da essoospitato, sono i seguenti:

§ ISO 7816-3


§ ISO 7816-4§ ISO 7816-8

I comandi, nella forma di APDU, che devono obbligatoriamente rispettare gli standard citati,sono quelli utilizzati dal middleware crittografico di interfaccia con la carta, le cui specifiche sonodiscusse nel paragrafo che descrivere il processo di autenticazione in rete.

Fa eccezione il comando per lo scambio delle chiavi di sessione, descritto nella sezioneriguardante i servizi, che dovrà essere implementato secondo le specifiche riportate in quel paragrafo.

4.4 Dati (fa riferimento all’art. 13, comma 1, lettera d del D.M.)

Di seguito è riportato il formato elettronico dei dati presenti nella CIE.

Descrizione Campo TipoNumero assegnato al documento in bianco carattereComune che emette il documento carattereData di emissione del documento carattere dataData di scadenza del documento carattere dataCognome carattereNome carattereData di Nascita carattere dataSesso carattere (M/F)Statura (cm) carattereCodice fiscale carattereCittadinanza carattereComune / Stato estero di Nascita carattereEstremi atto di nascita carattereComune di residenza carattereIndirizzo carattereFirma del titolare BMP

JPG (fattore 5)Eventuale annotazione in caso di non validità del documento perl’espatrio

Logico

Fotografia 23x28mm – 200dpi – 16 Ml di colori(a 24 bit) BMPJPG (fattore 5)

Impronta digitale (indice destro) 1”x1” – 500dpi – 256 liv. di grigio BMPWSQ

La dimensione dei vari campi, indicati nella tabella, sarà definita a seguito della elaborazionedelle specifiche di dettaglio.


5. Misure di sicurezza (fa riferimento all’art. 4 del D.M.)

Questo paragrafo descrive le misure adottate, durante tutte le fasi della produzione e dell'utilizzodella CIE, per ottenere i corretti livelli di sicurezza e di interoperabilità della carta.

5.1 Sicurezza del supporto fisico

Nel seguito sono elencati gli elementi utilizzabili per la sicurezza del supporto e per accertarnel’autenticità, anche attraverso il semplice esame visivo.

5.1.1 Elementi di sicurezza grafici e di stampa

E' previsto l'uso dei seguenti elementi di sicurezza, tipici delle carte valori:§ motivi antiscanner ed antifotocopiatura a colori;§ stampa con effetto rainbow (a sfumatura di colore graduale e progressiva);§ motivi grafici multicolore richiedenti elevata qualità di registro di stampa;§ microprint;§ processo di masterizzazione photomask con stampa ad alta risoluzione di immagini direttamente

su film ottico;§ embedded hologram (incisione grafica su banda laser);

5.1.2 Inchiostri

Per la stampa è previsto l’impiego di inchiostri dotati di speciali caratteristiche, come quellifluorescenti (visibili all'ultravioletto), interferenziali e otticamente variabili (OVI - Optical VariableInk).

5.1.3 Numerazione di serie

La numerazione del documento in bianco, realizzata con sistema ad incisione laser sul frontedel documento, è ripetuta visibilmente sulla banda ottica con il sistema dell’ “embedded Hologram”,memorizzata al suo interno ed inserita come dato all’interno del microprocessore.

5.1.4 Applicazione di elementi Optical Variable Device (OVD )

Sul retro del documento, nella fase di produzione, è applicato a caldo un ologramma disicurezza.

Sul fronte del documento, quale ultima fase della personalizzazione, è prevista l'applicazionedi overlay olografico.

5.2 Sicurezza della fase di personalizzazione


Al fine di consentire la stampa della CIE presso i Comuni o i Centri Servizi ad un costocontenuto, la tecnica da utilizzare è quella della termografia a colori su policarbonato (eventualmenteapponendo uno strato neutro intermedio).

Anche la compilazione grafica sarà uniforme per tutto il territorio nazionale tramite l’utilizzo dicaratteri, provenienti da un unico “font” appositamente realizzato per la CIE che verrà distribuitounitamente al software di sicurezza, dal SSCE.

Inoltre, l'apposizione di embedded hologram (incisione grafica su banda laser) consente direplicare, su banda ottica, i dati identificativi del titolare del documento, al fine di rendere più sicural’identificazione a vista.

Infine, come accennato, al termine della stampa termica, il processo prevede l’applicazione sulfronte di un "overlay" di protezione di 12 micron al fine di offrire ulteriori sicurezze e garantire ladurata oltre i cinque anni.

5.3 Affidabilità dei dati

5.3.1 Laser su banda ottica

I dati vengono memorizzati permanentemente sulla banda laser (sistema WORM) in formatodigitale e letti/scritti con appositi apparati, detti lettori/scrittori.

Ferma restando l'auspicabile corretta conservazione da parte del titolare della carta, per megliogarantire la leggibilità e la coerenza dei dati nel tempo, la superficie della tessera dovrebbe presentarsipulita e uniforme (es. possibilmente senza graffi o abrasioni). Comunque i supporti informaticiutilizzati offrono garanzie di conservazione dei dati molto elevate; infatti, per quanto attiene ai daticontenuti nella banda laser, è attivo un metodo di identificazione e correzione d’errore che garantiscela ricostruzione delle informazioni digitali eventualmente perse per cause accidentali.

5.3.2 Microcircuito

Esistono due distinti livelli di protezione dei dati conservati nella carta: un livello fisico ed unlivello logico. La protezione a livello fisico è gestita dal produttore del chip che provvede amascherare sulla carta, in maniera indelebile, il sistema operativo proteggendolo mediante una chiavesegreta di cui egli solo è a conoscenza.

Il livello logico è invece gestito sia dall'entità che inizializza la CIE che dall’ente che lapersonalizza.

Tre sono le tipologie di dati che il microcircuito contiene:§ le informazioni specifiche dell’hw e del sw,§ le informazioni anagrafiche del titolare,§ i dati relativi alla carta servizi, cioè necessari alla fruizione dei servizi erogati da un server

remoto.Per quanto riguarda la prima e la seconda tipologia di dati, la registrazione può avvenire

soltanto dopo il superamento di particolari condizioni di test e, una volta effettuata, comportal'aggiornamento dei diritti di accesso ai dati, al fine di impedirne una successiva cancellazione omodifica.


Relativamente alla terza tipologia i dati possono essere distinti in:§ dati individuali aggiuntivi§ dati relativi ai singoli servizi.

L'accesso a questi ultimi dati è possibile solo dopo il consenso del titolare espressoordinariamente tramite digitazione di PIN.

I dati individuali aggiuntivi sono informazioni relative al titolare che sono registrate sullacarta, ad integrazione delle informazioni anagrafiche, e che possono essere utilizzate ai finidell’erogazione dei servizi. Queste informazioni estendono l’identità del titolare, non sono specifichedi un servizio e non sono modificabili a seguito dell’erogazione dei servizi. Vengono registrate omodificate sulla carta esclusivamente dal Comune su esplicita richiesta del titolare e, in pratica,abilitano la carta all’accesso a quei servizi delle amministrazioni locali e centrali la cui erogazionenecessita di tali dati.

L'elenco dei dati individuali aggiuntivi è definito ed aggiornato dal Dipartimento dellaFunzione Pubblica, d'intesa con il Ministero dell'Interno e con l'Associazione Nazionale dei Comunid'Italia.

I dati relativi ai singoli servizi sono informazioni registrate sulla carta, eventualmentemodificabili durante l’erogazione del servizio, e relative ad attributi del titolare della carta che sonofunzionali esclusivamente all’amministrazione erogante il servizio.

5.4 Sicurezza del circuito (fa riferimento all’art. 6, comma 1 del D.M.)

La migliore garanzia contro tentativi di falsificazioni e utilizzo di carte rubate si trova nellacentralizzazione virtuale prevista dall'architettura del circuito d’emissione della CIE.

In tale logica, il sistema di sicurezza dei documenti traccia tutte le operazioni al fine di garantireil rispetto della normativa vigente sulla riservatezza delle informazioni e dei dati personali, perimpedire l’emissione di documenti falsi e per individuare facilmente l’utilizzo fraudolento didocumenti rubati e la contraffazione di documenti autentici.

Nel capitolo 7 verranno descritte dettagliatamente tutte le fasi del processo di emissione.

5.4.1 Sicurezza degli accessi ai dati (fa riferimento all’art. 6 del D.M.)

In base al Regolamento di esecuzione del Testo Unico delle Leggi di P.S., oltre al titolarepossono accedere alle informazioni contenute nei documenti esclusivamente i Comuni, che emettonole carte d’identità, e le Questure competenti territorialmente. Infatti, sia gli uni che gli altri sono tenutia conservare copia dei documenti emessi.

Passando da un documento cartaceo ad uno di formato elettronico, anche la copia conservatada Comune e Questura (cartellino cartaceo) diviene di tipo digitale (cartellino elettronico).


Pertanto, a fini di sicurezza e nel rispetto delle norme di legge, la “base dati” comune consentel’accesso e la visualizzazione dei cartellini elettronici al solo Comune di residenza ed alla Questuraterritorialmente competente.

A tal fine il Sistema di Sicurezza (SSCE) garantisce la tracciabilità di tutte le attività, relativeai dati identificativi, per ogni singolo documento, consentendo di risalire, in qualsiasi momento, alleinformazioni di "chi ha fatto cosa e quando", nel rispetto delle attuale normativa, durante tutte le fasidi formazione, compilazione, rilascio, rinnovo ed aggiornamento dei documenti.

Il Sistema di Sicurezza, grazie ad un meccanismo di cifratura basata su algoritmo a chiaveasimmetrica, non è in grado esso stesso di accedere ad alcuna informazione di carattere personale chepuò essere visualizzata, tramite la propria chiave privata, esclusivamente dalla Questura o dal Comunecompetente.

Da un punto di vista tecnico, i dati sono prima cifrati per mezzo di un algoritmo simmetrico diprovata robustezza (ad es. 3DES) con una chiave di lunghezza non inferiore a 128 bit (generata inmodalità casuale); quest'ultima, prima di essere distrutta, viene a sua volta cifrata sia con la chiavepubblica della Questura che con quella del Comune e memorizzata assieme all’informazione.

5.4.2 Sicurezza della carta

I rischi di furto e falsificazione delle carte d’identità, con l’adozione del modello elettronico,sono notevolmente ridotti, principalmente in virtù della natura del supporto e delle garanzie diinalterabilità delle informazioni riportate, tanto sul chip che sulla banda ottica.

La banda ottica rappresenta l’elemento centrale della sicurezza per i motivi di seguito riportati.

La caratteristica di base della scrittura WORM (Write Once Read Many) non permette alterazioni,realizzate mediante la cancellazione di dati e la loro sostituzione con altri. Infatti, le informazionimemorizzate non sono cancellabili e riscrivibili. Eventuali aggiornamenti consistono esclusivamentein aggiunte, proprio come avviene per un normale CD-Rom.

In ogni caso esistono le protezioni inserite nell’hardware di scrittura, in dotazione esclusivamentea E ed IPZS, e di ogni operazione effettuata dal funzionario autorizzato elettronicamente si tienetraccia presso SSCE.

Il controllo a vista della carta, inoltre, è garantito dalla presenza dell’Embedded Hologram chepermette di effettuare un’azione di costante validazione dei dati stampati in chiaro e di evidenziarneimmediatamente il tentativo di manomissione.

Infine non essendo la banda laser modificabile attraverso campi magnetici, calore (100°), campielettrici, virus informatici, il suo contenuto è inattaccabile.

Gli eventuali interventi meccanici che modifichino strutturalmente o fisicamente la “card”sarebbero immediatamente visibili.

Relativamente al microchip, questi non permette - grazie alla sicurezza del suo stesso sistemaoperativo - di modificare o scrivere informazioni se non in presenza di determinate autorizzazioni.


Inoltre tutte le informazioni sensibili, tanto sul chip che sulla banda ottica, sono garantite control'alterazione, perché "firmate" digitalmente.

5.4.3 Furto della carta "attivata" o documento in bianco

La carta è in tale stato quando viene spedita da IPZS ai comuni, prima di essere formata erilasciata.

In questo caso, dal momento che la personalizzazione richiede, per poter aver luogo,l'autenticazione del funzionario nei confronti del sistema e la firma dei dati da parte di appositiapparati contenenti la chiave privata dell'ente, tale eventualità rientra nella tipologia del “rilasciofraudolento” realizzabile solo attraverso l'infedeltà del funzionario stesso le cui attività però, con lacitata tracciatura, restano registrate nel Data Base delle approvazioni presso SSCE.

5.4.4 Controlli a vista

L’intero circuito di sicurezza attraverso l'adozione dell'architettura a centralizzazione virtualeconsente di innalzare il livello di qualità dei controlli, c.d. a vista, effettuati dalle Forze di Polizia perverificare l’identità delle persone sottoposte ai controlli stessi.

Disporre di un documento particolarmente attendibile consente di eseguire tutte le normaliprocedure in tempi molto ridotti con indubbio vantaggio per le persone coinvolte.

Le sicurezze adottate durante la fase di inizializzazione del documento, la presenza sulla bandaottica, sotto forma di ologramma, delle stesse informazioni grafiche, lo rendono molto più affidabiledel modello cartaceo.

Laddove si volessero approfondire le verifiche, due sono le possibili soluzioni:

- Controllo dei dati autenticati e memorizzati nella banda ottica. Tramite apposito lettoreopportunamente inizializzato, in grado di rilevare con certezza l'autenticità del documento

- Controllo delle informazioni presso il SSCE. Le Questure di competenza possono,collegandosi al SSCE, verificare immediatamente, grazie al possesso di opportune chiavicrittografiche, se le informazioni in esso contenute corrispondono con quelle riportate neldocumento.

5.4.5 Lista dei documenti interdetti (fa riferimento all’art. 6, comma 2 del D.M.)

In attuazione dell’art. 6, comma 1, del D.P.C.M. del 22 ottobre 1999, n. 437, presso il SSCE èpresente un elenco dei documenti interdetti (black-list). Tale elenco è indispensabile per impedirel’operatività della CIE in caso di smarrimento o furto della stessa.

Le procedure da seguire per l'interdizione della carta vengono dettagliatamente descritte neisuccessivi paragrafi.


5.4.6 Software di sicurezza distribuito ai comuni (fa riferimento all’art. 6, comma 1 del

D.M.)

Per procedere alla formazione ed all’emissione dei documenti, i Comuni devono collegarsi alSSCE. In assenza di tale collegamento qualsiasi documento prodotto verrebbe facilmente individuatocome falso.

I requisiti per collegarsi al circuito di emissione sono un collegamento telematico, secondo icriteri stabiliti al paragrafo 3.2 del presente documento, e l’adozione di uno speciale software disicurezza rilasciato dal Sistema di Sicurezza stesso.

Il SSCE curerà l’analisi, lo sviluppo, la distribuzione e la manutenzione del software, per motividi riservatezza, di interoperabilità e di economicità.

Il software, unitamente alla chiave privata del comune, la prima volta dovrà essere ritirato pressoil Ministero dell’Interno. Le release successive, invece, grazie alla disponibilità della chiave privatapotranno essere prelevato direttamente via Web.


6. Servizi erogabili in rete (fa riferimento all’art. 5 del D.M.)

Le tipologie dei servizi erogabili possono, in sostanza, ricondursi a due: servizi standard che nonnecessitano di essere installati sul documento e servizi qualificati che richiedono l’installazione.

L'installazione di un servizio qualificato è il processo mediante il quale viene predisposta sullacarta la struttura dati del servizio, ovvero la chiave pubblica del server dell'ente erogatore od entrambi.

I livelli di sicurezza previsti per l'erogazione dei servizi sono:• Autenticazione forte (strong authentication) del titolare• Autenticazione forte del server erogatore (autenticazione esterna)• Cifratura del canale (secure messaging)

Tali livelli di sicurezza possono essere contemporaneamente presenti; in particolare, il securemessaging implica sempre almeno l'autenticazione forte del server. Per tutti i tre livelli è necessaria ladigitazione del PIN.

Nel caso dei servizi standard si accede al servizio con il semplice riconoscimento tramitedigitazione del PIN e, laddove necessario, l’utilizzo del certificato della carta per la strongauthentication.

Richiedono l’installazione sulla carta quei servizi che necessitano di informazioni aggiuntive damemorizzare sul documento. Per questi ultimi l’accesso al servizio avviene solo dopo che il Server cheeroga il servizio ha riconosciuto, tramite un meccanismo basato su chiavi asimmetriche, la carta edeventualmente dopo che quest’ultima ha riconosciuto il Server.

I servizi standard vengono erogati senza alcuna autorizzazione ed in piena autonomia dalleamministrazioni interessate ai titolari di carte e possono utilizzare solo il primo livello diautenticazione (autenticazione forte del titolare).

I servizi qualificati, se erogati da amministrazioni centrali, per poter essere installati devonoessere previamente autorizzati. Tali servizi possono adottare tutti i livelli di sicurezza precedentementeelencati.

Rientra nei servizi qualificati la firma digitale disciplinata dal DPR 513 del 1997. In questosolo caso, viene abilitata la funzione di generazione delle chiavi di sottoscrizione sottoponendola allemedesime condizioni di autenticazione del server remoto che gestisce l'operazione (possesso dellachiave privata (Spri) corrispondente alla chiave pubblica (Spub) del server dell'ente certificatore).

6.1 Le liste dei servizi e la lista delle carte interdette (black-list)

Le liste dei servizi sono indispensabili per poter procedere all'installazione dei servizi qualificatisulla carta. Solo i servizi presenti in tale lista possono essere installati sulla carta.

Le liste dei servizi contengono almeno le seguenti informazioni:

• Identificativo del servizio• Formato della struttura dati da creare sulla carta (se presente)• Chiave di autenticazione del server erogatore (Spub)


• Spazio richiesto in EEPROM (memoria) del microcircuito• Informazioni descrittive del servizio

Esistono due tipologie di liste dei servizi:

• La lista dei servizi nazionali (mantenuta da SSCE)• Le liste dei servizi comunali (mantenute dai Comuni)

La lista nazionale presso il SSCE e le liste comunali interoperano secondo modalità e standardspecifici. La lista nazionale contiene l’elenco dei servizi nazionali e l’elenco dei servizi ultracomunali. Per servizi ultracomunali si intendono quelli che un Comune rende disponibili al di fuori della suacompetenza territoriale

Il software di sicurezza rilasciato ai comuni, al fine dell'installazione dei servizi, deve interoperaresia con la lista nazionale sia con l'eventuale lista comunale.

La predisposizione e la gestione della lista dei servizi comunali è affidata alla responsabilità delcomune.

La predisposizione e la gestione della lista dei servizi nazionali è affidata al SSCE. Leamministrazioni centrali che intendono offrire servizi qualificati devono richiedere una autorizzazioneal Dipartimento della Funzione Pubblica specificando i motivi per cui si ritiene necessario utilizzarequesta tipologia di servizio, le modalità di installazione ovvero aggiornamento (nel caso si tratti di unservizio già esistente) e, in caso di parere favorevole, presentare al SSCE un documento in cui sievidenzia:

• la descrizione del servizio da erogare;• le modalità tecniche attraverso le quali sarà garantito il servizio;• l'organizzazione a supporto del sistema di erogazione del servizio.

Presso il SSCE è inoltre mantenuta la lista delle carte interdette (black-list), aggiornata secondo lemodalità descritte al capitolo 8. Il SSCE mette a disposizione di tutti coloro che erogano servizil'acesso telematico alla black-list. Saranno le caratteristiche del servizio che si deve erogare a stabilirela necessità di un accesso alla “black list” delle carte interdette.

6.2 Modalità di riconoscimento in rete

In considerazione dell'architettura definita per la carta d' identità elettronica e dell'utilizzo dellacomponente microchip per il riconoscimento in rete della carta nei confronti di un server applicativoche eroga dei servizi, la soluzione che si è scelta è quella della Strong Authentication che richiedel’utilizzo di funzioni tipiche di una Public Key Infrastructure (SSCE).

6.2.1 Crypto Middleware ed API PKCS#11

IL Crypto Middleware è costituito dalle applicazioni (piattaforme) che SSCE mette adisposizione dei Client, che operano su reti aperte, per gestire i servizi di cifratura/decifratura.Orientativamente, tali piattaforme svolgono le seguenti funzioni:§ Accesso LDAP ai servizi di Directory;


§ Gestione in Cache della Cerificate Revocation List;§ Parsing dei Certificati Digitali;§ Costruzione di strutture PKCS#7;§ Richiesta di certificazione di chiavi pubbliche;§ Richiesta di revoca di certificati§ Interfaccia ad alto livello verso le funzioni di cifratura.

Queste piattaforme, a loro volta, poggiano su strati software, o API, che le isolano dai dispositividi cifratura, tipicamente le Smart Card.

Le API più comunemente usate sono le PKCS#11, le cui caratteristiche salienti sono:§ consentire ai Crypto Middleware di prescindere dai dispositivi che memorizzano chiavi e

sviluppano crittografia;§ fornire ai Crypto Middleware una interfaccia standard;§ rendere portabili le applicazioni negli ambienti in cui la crittografia è trattata con queste API.

6.2.2 Processo di Strong Authentication

Questo processo consente la identificazione da remoto della carta per la fruizione dei servizierogati da una applicazione residente presso una Pubblica Amministrazione Centrale.Orientativamente, i passi previsti dalla procedura sono:

1. L'applicazione client stabilisce la comunicazione con l'applicazione server.

2. L'applicazione server richiede all'applicazione client il file "C_Carta" contenente il certificato(ID_Carta più la chiave pubblica Kpub della carta).

3. L'applicazione client interroga la carta e legge tale file mediante i comandi APDU SELECT FILE (C_Carta), READ BINARY.

4. L'applicazione client invia il file "C_Carta" al server.

5. L'applicazione server verifica la validita' del certificato mediante SSCEpub ed estrae da essoID_Carta e Kpub.

6. L'applicazione server genera una stringa di challenge e la invia al client rimanendo in attesa dellarisposta.

7. L'applicazione client seleziona Kpri mediante il comando MSE(Manage Security Environment). In tal modo Kpri e' attivata e verra' usata in tutte le successive operazioni di cifratura effettuate dalla carta.

Mediante il comado PSO (Perform Security Operation)la carta esegue la cifratura del challengeusando Kpriv precedentemente attivata, e restituisce all'applicazione client la stringa ottenuta. Lachiave privata che e' stata generata dalla carta in fase di inizializzazione, risulta invisibiledall'esterno e comunque impossibile estrarla dalla carta.

8. Il client invia al server in attesa il challenge firmato ricevuto dalla carta.


9. L'applicazione server verifica la stringa ricevuta e la confronta con il challenge precedentementegenerato.Se tale confronto ha esito positivo la carta e' autenticata. A questo proposito è necessario chel'algoritmo di verifica, residente sul server, sia compatibile con quello usato dalla carta per cifrareil challenge.

6.2.3 Comandi di gestione utilizzati dalla Strong Authentication

La norma ISO 7816 parte 4 e parte 8 definisce, oltre alla struttura del File System , anche icomandi per interagire a livello applicativo. Tali comandi sono chiamati APDU (Application ProtocolData Unit).

In funzione dei passi procedurali del processo di Autenticazione sopra descritti, sono individuati iseguenti comandi APDU:§ SELECT FILE, per selezionare l’Elementary File che contiene il certificato della Carta di

Identità Elettronica ( C_Carta);§ READ BINARY, per leggere il certificato;§ MSE (Manage Security Environment), per attivare la chiave privata di autenticazione;§ PSO (Perform Security Operation), per cifrare il challenge da inviare alla applicazione server.

Un approccio che è stato scelto per garantire alle applicazioni di gestire in modo interoperabile lacomponente microchip della Carta di Identità Elettronica è quello di realizzare una libreria diinterfaccia che implementi i comandi descritti precedentemente.

Tale libreria, realizzata da SSCE, metterà a disposizione presumibilmente le seguenti funzioni:§ servizi di amministrazione;§ funzioni di interfaccia verso la CIE;§ identificazione Utente;§ selezione File;§ Read File;§ selezione chiave;§ autenticazione Interna;§ gestione errori ed anomalie.

6.3 Considerazioni sulla interoperabilità

Al momento della scrittura di questo documento, non esistono standard di riferimento chegarantiscono l'interoperabilità dei sistemi di crittografia, per cui SSCE, per raggiungere questoobiettivo, ha ritenuto opportuno definire sia l’algoritmo crittografico di autenticazione, sia il formatodel messaggio autenticato.

La scelta effettuata è quella di utilizzare RSA come algoritmo di autenticazione e PKCS#1come formato; di seguito sono esposti i razionali che hanno condotto a questa tipo di soluzione.


6.3.1 Algoritmi

Gi algoritmi asimmetrici comunemente impiegati dalle Smart Card ed idonei per realizzare laautenticazione sono l’algoritmo RSA e l’algoritmo DSA

Questi algoritmi sono onerosi dal punto di vista computazionale e quindi sono realizzatiutilizzando un coprocessore aritmetico. La lunghezza della chiave dipende dalla capacita delcoprocessore di effettuare moltiplicazioni in modulo. Questo comporta una lunghezza massima dichiave pari al massimo modulo supportato dal coprocessore per l’algoritmo DSA ed una lunghezzamassima pari al doppio del modulo per l’algoritmo RSA grazie alla possibilità di utilizzare il ChineseRemaider Theorem.

In virtù delle considerazioni precedenti la scelta effettuata è stata quella dell’algoritmo RSA inquanto consente di:

§ poter scegliere tra una vasta gamma di fornitori ;§ estendere, in futuro, la lunghezza della chiave.

6.3.2 Formati

I formati generalmente utilizzati dalla crittografia asimmetrica sono:

§ il formato ISO 9796 parte 2;

§ il formato PKCS#1.

Il formato ISO 9796-2 è adottato dallo standard EMV per l’autenticazione statica e dinamica.

In applicazioni non EMV questo formato è consigliabile quando l’intero processo diautenticazione comporta l’utilizzo di due Smart Card (Mutua autenticazione interna ed esterna).

Il formato PKCS#1 è consigliabile in quanto può essere considerato “standard de facto” ed imessaggi di autenticazione (Response) costruiti secondo questo formato possono essere verificati dalleapplicazioni che utilizzano gli strumenti tipici delle Public Key Infrastructure.

6.4 Strong Authentication lato Server

Quanto affermato nei precedenti paragrafi è un solido punto di partenza per risolvere ilproblema della autenticazione forte in rete per quanto concerne il Client e la CIE. E’ ora necessariodefinire la componente server del processo di autenticazione.

La figura [4] illustra i componenti che intervengono nel processo di autenticazione.


Fig. [4]

6.4.1 Server Authentication Middleware

Il Server Authentication Middleware è lo strato software che fornisce i servizi crittografici allaApplicazione.

Le funzioni che questo strato rende disponibili sono:

§ Generazione di quantità random;§ Funzioni di Hash;§ Gestione di Certificati digitali in formato X509v3 ;§ Verify Certificate (per validare il certificato della CIE )§ Verify Signature (per validare il messaggio di Autenticazione)§ Caricamento della Certficate Revocation List§ Gestione della Revocation List.

Quelle descritte sono solamente un subset delle funzionalità del Server Authentication Middlewarein una Infrastruttura a Chiave Pubblica ma sono comunque sufficienti per considerare la possibilità diutilizzo di software di mercato.

I requisiti di questa componente software sono:

§ servizi crittografici come descritto nei punti precedenti;§ interoperabilità con i Client;§ indipendenza degli strumenti di produzione dei certificati.

Il primo requisito è una funzionalità tipica dei Middleware crittografici, il secondo requisito èsoddisfatto dalla scelta fatta per Algoritmo e Formato che rende univoca la struttura del messaggio diAutenticazione mentre il terzo requisito è garantito dal circuito di emissione della Carta di IdentitàElettronica essendo la produzione dei certificati di competenza di SSCE.

ApplicazioneClient

ApplicazioneServer

Server Auth.MiddlewareAutentication Lib.

Archivio Certificati Revocati(SSCE)

Ente pubblico che erogaservizi per cui è richiestala Autenticazione

PostazioneUtenteCrypto

API

Interfacciaarchivio

Certificati


6.5 Installazione dei servizi

L'installazione dei servizi avviene durante la fase di formazione e rilascio da parte dei comuni,descritta in maniera analitica nel successivo capitolo 7.

6.6 Aggiornamento dei dati relativi alla fruizione dei servizi

Nei paragrafi precedenti è stato approfondito il tema della autenticazione della CIE verso unEnte in grado di erogare servizi , in questo paragrafo viene completato il processo di autenticazionespecificando le procedure che permettono alla CIE di verificare l’autenticità del servizio remoto concui sta interagendo. Questo processo è chiamato :Autenticazione Esterna

Un altro tema trattato in questo paragrafo è il caricamento remoto sicuro di dati nella CIE daparte dell’Ente che eroga il servizio , questo processo è chiamato Secure Messaging.

I processi di Autenticazione e di Secure Messaging garantiscono l'interazione diretta tra Ente eCarta di Identità Elettronica e prevengono dai tentativi di intrusione che possono essere condotti sullarete.

Il processo di autenticazione esterna utilizza metodologie di crittografia asimmetrica tramite lachiave pubblica del servizio(Spub) mentre il processo di secure messaging utilizza crittografiasimmetrica.

Per quanto concerne la gestione delle chiavi simmetriche sono stati oggetto di valutazione iseguenti due metodi :

§ quello basato sullo utilizzo di “diversified key” (Ks) derivate da “master key”(Km) e caricatenella CIE durante la fase di Installazione dei servizi;

§ quello basato sullo scambio di una chiave di sessione (Ks) generata in modo casuale dalla CIEe crittografata ed autenticata dalla CIE stessa.

Il primo metodo è consolidato e comunemente impiegato nelle applicazioni “Smart Card Based”ma richiede particolare attenzione nella custodia e distribuzione delle chiavi.

Il secondo metodo, in fase di valutazione, richiede la scrittura di un comando ad hoc che consentela generazione, la crittografia e la autenticazione della chiave di sessione all’interno della CIE al finedi garantire alla Applicazione Server che quella chiave può essere decrittografata solo da lei e generatasolamente dalla CIE.

6.7 Autenticazione esterna

Il processo di autenticazione esterna è attivato dall’applicazione remota che deve poter accedereai file della Carta di Identità Elettronica per aggiornarne i dati.


Questo processo utilizza la chiave pubblica del servizio(Spub) che è stata caricata nella carta durantela fase di installazione del servizio.

L’Autenticazione Esterna coinvolge i seguenti moduli:

§ applicazione Server§ applicazione Client§ libreria di interfaccia e CIE.

La Figura [5] schematizza un esempio di flusso di informazioni scambiate tra i vari moduli checoncorrono al processo di autenticazione esterna.

Il processo di Autenticazione Esterna è attivato dalla applicazione Server dopo che è statariconosciuta (autenticata) la Carta ed il titolare.

Figura [5]

Orientativamente, il processo di Autenticazione si svolge secondo i seguenti passi procedurali:

1. L’Applicazione Server richiede alla Applicazione Client di essere autenticata dalla CIE (ad es.tramite il comando “Aut_Request”);

2. L’applicazione Client, servendosi della LIBRERIA , invia una "challenge" alla CIE (ad es. con ilcomando “Get_Challenge”);

3. La risposta della CIE è un numero random (il Challenge);

APPLIC.SRVER

APPL.CLIENT

LIBRERIA

1 Auth_Request

4 Auth_Challenge

5Auth_Response

8 Auth_Result

2 Get_Challenge

6 EXT_Authenticate

3 Challenge=<Random>

7 Status=<OK/KO>

CIE


4. L’Applicazione Client invia alla Applicazione Server il numero random generato dalla CIE (ad es.con il comando “Aut_Challenge”);

5. L’Applicazione Server firma il Challenge con la chiave privata del servizio(Spri), e lo invia allaApplicazione Client (ad es. con il comando “Auth_Response”);

6. La applicazione Client, servendosi della libreria, richiede alla CIE un'operazione di"autenticazione esterna";

7. La CIE utilizza la chiave pubblica del servizio(Spub) , relativa alla directory a cui si vuole accedere,per verificare la autenticità del Response; se la verifica è positiva viene inviato un messaggio diconsenso alla Applicazione Client tramite la libreria e viene reso disponibile l’accesso ai fileappartenenti a quella directory;

8. L’Applicazione Client comunica alla Applicazione Server l’esito del processo (ad es. tramite ilmessaggio “Auth_Result”);

Nella descrizione del processo di Autenticazione Esterna si sono trascurati dettagli proceduraliquali la gestione delle eventuali anomalie e le “Retry” tipiche di questi processi in quanto nonincidono sulle funzionalità della CIE.

6.8 Secure Messaging

Il processo di Secure Messaging è attivato dopo i processi di autenticazione e consente loscambio dati crittografato tra CIE ed Applicazione Server .

Esso utilizza una chiave di sessione diversificata KD che è:

§ derivata da KS attraverso la generazione di una quantità Random, qualora venga scelto didistribuire le chiavi secondo metodi convenzionali durante la fase di emissione;

§ coincidente con la chiave KS, autogenerata in modalità casuale, qualora venga scelta ladistribuzione delle chiavi di sessione dalla CIE alle Applicazioni Server con un appositocomando basato sull’utilizzo di crittografia asimmetrica.

Il comando di Secure Messaging dovrà essere implementato secondo la norma ISO 7816-4 nellamodalità “Secure Messaging for Confidentiality”.


7. Processo di Emissione

Nel presente capitolo sono descritte in dettaglio le fasi operative previste dal circuito d’emissione.Per una migliore comprensione del processo d’emissione si riporta un glossario di riferimento.

Fb Fornitori Bande Ottiche

Fp Fornitori microprocessori

IPZS Istituto Poligrafico Zecca dello Stato

SSCE Sistema di sicurezza del circuito di emissione (Ministero dell’Interno)

E Ente emettitore della CIE, Tipicamente un comune.

ID_Carta Numero identificativo della cartaNumero assegnato al documento d’identità e generato dal sistema disicurezza.

C_Carta Certificato anticontraffazione della carta- Certificato che lega il numero identificativo del documento ed una chiave

pubblica (Kpub), corrispondente ad una privata (Kpri), generataall’interno del microprocessore e non esportabile all’esterno.

- E’ rilasciato dal SSCE e viene riportato nella banda ottica e nelmicroprocessore.

- Unisce in maniera inscindibile i due supporti informatici.Dati_processore E’ un file elementare che riporta alcuni dati univoci del processore

Le informazioni che contiene sono:Fp, numero seriale e datafabbricazione.

Dati_banda_ottica E’ un file elementare che riporta alcuni dati identificativi univoci dellabanda otticaLe informazioni che contiene sono: Fb, numero seriale e datafabbricazione

Rd Record dati.E’ un’area della banda ottica che contiene i dati necessari

PIN P1 Cifrato con la chiave pubblica del comune di destinazione. Serve perabilitare l’accesso in scrittura ai files elementari. Securizza ulteriormentela fase di compilazione.

PIN utente E’ il PIN necessario al titolare per utilizzare la chiave privata Kpri per leoperazioni di autenticazione in rete. Viene consegnato dal comune dirilascio con meccanismi di sicurezza (es. busta in carta chimica protetta).

7.1 Produzione di banda laser e microprocessore

I Fornitori di microprocessori (Fp) ed i Fornitori di bande ottiche (Fb) provvedono allafabbricazione dei supporti informatici.

I Fornitori di microprocessori provvedono anche alla mascheratura in ROM del SistemaOperativo.


Entrambi i fornitori applicano, in fase di produzione, un numero seriale progressivo univoco, suisupporti informatici da loro forniti e predispongono una distinta, cartacea ed elettronica, che riporta leseguenti indicazioni: ID fornitore, numero seriale, numero del lotto di produzione, data di produzione.

I fornitori, successivamente, inviano i loro prodotti, accompagnati dalle distinte, direttamenteall’Istituto Poligrafico dello Stato (IPZS).

7.2 Produzione ed inizializzazione della carta d’identita elettronica e deldocumento elettronico

Per meglio comprendere le diverse fasi del circuito di emissione, è bene fare dei brevi cennisull'organizzazione e sulla normalizzazione delle informazioni sui supporti informatici della CIE.

7.2.1 Struttura delle informazioni sulla banda ottica

Sulla banda ottica vi sono due aree di memorizzazione differenti ma sincrone:

§ Una area dati che contiene, codificati in record di formato opportuno (Rd), i necessari datidella carta, del titolare e i servizi installati.

§ Una area di controllo che contiene, codificate in formato opportuno (Rc), le informazioni dicontrollo e verifica dei corrispondenti Rd.

L’area controllo è assimilabile ad un registro incrementale delle operazioni avvenute sulla carta, econsente di stabilire con certezza chi, dove e quando ha effettuato ed autorizzato ogni operazione. Lacertezza viene stabilita dall’uso incrociato dei "sigilli" apposti da:

§ Istituto Poligrafico dello Stato;§ comuni;§ SSCE.

A ciascun record Rd dell’area dati corrisponde un record Rc dell’area di controllo. I record datipossono avere formati multipli secondo necessità.

I record Rd dell’area dati sono formati da IPZS e da E. I record Rc dell’area di controllo sonocomposti da due parti: una formata da IPZS e da E, l’altra formata da SSCE.


La successiva figura mostra l'organizzazione in record corrispondenti dell'area dati (File_dati) edell'area di controllo (File_controllo):

La successiva figura mostra, invece, per ciascun record corrispondente dell'area dati e di quella dicontrollo, la suddivisione in campi:

Questi record contengono dunque richieste (di IPZS o E) ed approvazioni (di SSCE), e permettonodi far avanzare la carta da uno stato all'altro, lungo il "percorso" che la porta dalla manifattura fino almomento del rilascio al titolare.

Questo flusso di richiesta ed approvazione è lo stesso utilizzato anche per il microcircuito, per cuinel record di controllo sono presenti elementi che andranno poi memorizzati nel chip (come ilcertificato C_Carta), e che consentono in tal modo anche un utile corrispondenza dei dati tra chip ebanda ottica.

La tabella seguente definisce la struttura (campi) del record di controllo:

Campo Generato da Descrizione Note1 IPZS, E (S) Numero progressivo del

record nell’ambito della cartaQuesta informazione è semprepresente

2 IPZS, E (S) Tipo del record (ossiadell’operazione)

Inizializzazione o Emissione

3 IPZS, E (S) Data e ora della creazione delrecord

Questa informazione è semprepresente

4 IPZS, E (S) Certificato dell'ente che hacreato il record

Questa informazione è semprepresente. Il certificato è emesso da MI.

5 IPZS, E (S) Identificativo dell'operatoreche ha creato il record

Questa informazione ordinariamente èsempre presente, salvo casieccezionali in cui non sia previstol'intervento manuale di un operatorenella generazione del record.

Area dati (File_dati)

Record 1Record 2

Record N…

Area controllo (File_controllo)

Record 1Record 2

Record N…

i-esimo Record dati i-esimo Record di controllo

Segmento generato da IPZS o E Segmento generato da MISegmento generato da IPZS o E

campi tabella [7.1-B] campi 1-6 tabella [7.1-A] campi 7-13 tabella [7.1-A]


6 IPZS (Fc), E (S) Bollo elettronico dell'ente cheha creato il record.

Coincide con la firma del record dati(Rd) e dei campi [1-5] delcorrispondente record di controllo(Rc), utilizzando la chiave relativa alcertificato (4). Il bollo elettronicocertifica i dati generati dall'ente che liha generati ed immessi nel circuito.

7 SSCE Numero progressivodell'autorizzazione concessa(generato secondo unprotocollo interno di SSCE)

Questa informazione è semprepresente.

8 SSCE Data ed oradell'autorizzazione

Questa informazione è semprepresente.

9 SSCE Numero identificativo dellacarta

è il numero (ID_Carta) assegnato aldocumento d'identità da SSCE estampato anche sul supporto plastico.

10 SSCE Certificato del SSCE Questa informazione è semprepresente.

11 SSCE Identificativo dell'operatoreche ha creato il record

Questa informazione ordinariamente èassente, salvo casi eccezionali in cuisia previsto l'intervento manuale di unoperatore nella generazione del record(ad es. se durante i controlli automaticiemergono condizioni per cui ènecessaria un'indagine piùapprofondita su un determinatoindividuo, ecc.).

12 SSCE Certificato anti-contraffazionedella carta

E' il certificato (C_Carta) che lega ilnumero identificativo della carta(ID_Carta) ed una chiave pubblica(Kpub), corrispondente ad un'unicachiave privata (Kpri), generataall'interno del microcircuito e nonesportabile all'esterno di esso. Esso èrilasciato da SSCE per esserememorizzato oltre che sulla bandaottica, anche nel microcircuito. Questainformazione permette di legare inmodo biunivoco il microcircuito e labanda ottica presenti sulla stessa carta.

13 SSCE Bollo elettronico dell'ente dicontrollo e verifica.

Coincide con la firma del record dati(Rd) e dei campi [1-12] delcorrispondente record di controllo(Rc), utilizzando la chiave relativa alcertificato (10). Il bollo elettronicocertifica l'approvazione, da partedell'ente di controllo e verifica, deidati di inizializzazione e/opersonalizzazione della carta.


La seguente tabella definisce la struttura (campi) del record dati.

Campo Generato da Descrizione Note1 IPZS, E Numero progressivo del

record nell'ambito dell'areadati (File_dati). Il numeroprogressivo di ogni recorddell'area dati devecorrispondere a quello delrecord dell'area di controlloche descrive l'operazioneeseguita per generarlo econtiene le relativeapprovazioni (firme)

Questa informazione è semprepresente

2 E Embedded Hologram. Viene "impresso" anche in evidenzavisiva sulla banda ottica al momentodell'emissione. Solo il record chedescrive questa fase è non nullo.

3 IPZS Dati identificativi univocidella banda ottica (n. serie,lotto di produzione,fabbricante, ecc.)

Non nullo solo nel record relativoall'inizializzazione, eseguita da IPZS.Questi dati vengono comunicati daifornitori della banda ottica

4 E Chiave biometricaindividuale.

Non nullo solo nel record relativoall'emissione, eseguita dal comune.

5 E Dati personali dell'individuo,con l'eccezione dellafotografia.

Non nullo solo nel record relativoall'emissione, eseguita dal comune.

6 E Fotografia. Non nullo solo nel record relativoall'emissione, eseguita dal comune.


La successiva figura descrive la struttura di memorizzazione della banda ottica. Le due aree dimemorizzazione denominate File_dati e File_controllo sono state già descritte in precedenza.

Una directory servizi è predisposta ad accogliere le strutture di memorizzazione relative adeventuali servizi (Dati_servizo 1, 2,..., N), che avessero necessità di appoggiarsi a grosse aree dimemorizzazione off-line, disponibili sulla banda ottica.

Il file Memoria_residua mantiene lo stato attuale della memoria, che decresce sempre, essendo labanda ottica un supporto non riscrivibile.

Root

File_dati 1

File_controllo

Directory servizi

Memoria_residua

Dati_servizio 1

Dati_servizio 2

Dati_servizio N

File_dati n

File_controllo n


7.2.2 Struttura delle informazioni nel microprocessore

La successiva tabella definisce la struttura dei dati registrati nella memoria riscrivibile(EEPROM) del microcircuito.

Fornito da: indica l'operazione in ragione della quale viene messo a disposizione un contenutoinformativo, consistente in una sequenza di bytes. Ad esempio, il risultato della raccolta dei datipersonali del titolare, effettuata dall'ente emettitore (il comune).

Predisposto da: indica l'operazione di creazione di una nuova struttura dati (DF o EF), ossia di un"contenitore" vuoto, pronto ad essere riempito con le informazioni che risultano da un'operazione deltipo precedente.

Scritto da: è l'operazione con la quale un contenitore vuoto (EF) viene riempito con le informazioniche risultano da una precedente operazione di generazione.

# Elemento Fornito da Predispostoda

Scritto da Descrizione

1 MF IPZS E' il "Master File" dellastruttura di memorizzazione.Corrisponde più o meno alladirectory radice di un ordinariosistema operativo.

2 DF0 IPZS Dedicated file (directory) dovevengono memorizzate leinformazioni prodotte durantela fase di inizializzazione dellacarta.

3 DF1 IPZS Dedicated file (directory) dovevengono memorizzate leinformazioni raccolte durantela fase di personalizzazionedella carta.

4 DF2 IPZS Dedicated file (directory) dovevengono installati i servizi chenecessitano, per il lorofunzionamento, di una strutturadati riservata nella memoriariscrivibile (EEPROM) delmicrocircuito.

5 PIN E E E E' il PIN utente richiesto perusare la chiave privata Kpri perle operazioni di autenticazione.Questo codice deve essereconsegnato dal comune dirilascio, con garanzia di


segretezza, al titolare dellaCIE.

6 Kpri E Chiave autogeneratainternamente alla carta,congiuntamente a Kpub. Essa èinvisibile all'esterno, mautilizzabile per le operazioni dicifra richieste durantel'operazione di strongauthentication. Il microcircuitodeve essere provvisto di unmotore crittografico interno(crypto-engine), al fine direndere più rapide talioperazioni.

7 INSTpub E IPZS IPZS Chiave pubblica del servizio diinstallazione delle strutture datirelative ai servizi. Laresponsabilità operativa delprocesso di installazione delservizio è delegata ai comuni.

8 Dati_processore IPZS IPZS IPZS E' un file elementare (EF) cheriporta alcuni dati identificativiunivoci del processore (n. serie,lotto di produzione,fabbricante, ecc.)

9 Parametri_APDU Fp IPZS IPZS E' un file elementare cheriporta le particolarità deicomandi elementari (APDU)del sistema operativo dellacarta, al fine di rendereinteroperabili le applicazioni.

10 ID_Carta SSCE IPZS IPZS Numero identificativo(matricola) della cartad'identità, generato dalMinistero dell'Interno ecorrispondente al numerostampato da IPZS sul supportoplastico.

11 C_Carta SSCE IPZS E E' il certificato, rilasciato daSSCE, che garantisce lavalidità del legame tra lacomponente pubblica, Kpub,della coppia di chiavi generatainternamente al microcircuito,e ID_Carta; esso contiene,come estensione, il risultatodell'esecuzione di una funzionedi hash sui dati identificativi


raccolti all'atto dellaformazione della carta (eriportati anche sul supportoplastico).

12 Dati_personali E IPZS E E' un file elementare checontiene i dati personalidell'individuo, con l'eccezionedella fotografia.

13 Dati_personaliaggiuntivi

E IPZS E E’ un file elementare checontiene dati, relativi allapersona, che integrano leinformazioni anagrafiche, chepossono essere necessarie aifini dell’erogazione di alcuniservizi.

14 Memoria_residua E IPZS E E' l'ammontare dello spaziototale previsto per i servizi,decurtato dello spazio utilizzatoda quelli già installati.

15 Servizi_installati E IPZS E E' un file elementare cheriporta l'elenco dei servizi giàinstallati sulla carta.

16 DF_Servizio #1,DF_Servizio #2,…DF_Servizio #N

E E E Sono le strutture dati relative aiservizi installati sulla carta.Esse comprendono, quando ilservizio richiede particolarigaranzie di sicurezza, la chiavepubblica del servizio perl'autenticazione in rete diquest'ultimo da parte della carta(Spub).


La successiva figura descrive graficamente la struttura di memorizzazione interna almicroprocessore:

MF

DF2

Kpri BB

PIN

DF0

DF1C_Carta

Dati_personali

Dati_personali_aggiuntivi

ID_Carta

Parametri_APDU

Dati_processore

Servizi_installati

Memoria_residua

INSTpub BB

DF_Servizio #1Dati_servizio #1

Spub BB #1

DF_Servizio #2

DF_Servizio #N

Dati_servizio #2

Spub BB #2

Dati_servizio #N

Spub BB #N


7.3 Le fasi preliminari

L’Istituto Poligrafico, responsabile della manifattura della CIE, riceve dalle Prefetture, in viatelematica, le richieste di fornitura di “documenti in bianco”, distinte per Comune, e dai fornitori imicroprocessori e le bande ottiche.

La consegna, alle Prefetture, dei “documenti in bianco” avviene al termine delle seguentisottofasi di generazione numeri identificativi, produzione, inizializzazione ed incisione grafica deglielementi costanti.

7.3.1 Generazione numeri identificativi per le carte d’identità ed i documentielettronici.

L'IPZS richiede al SSCE i numeri identificativi (ID_Carta) necessari;SSCE genera i nuovi ID_Carta ed inserisce un equivalente numero di record “in attesa”didivenire CIE nel suo database centrale;L’IPZS riceve via telematica i lotti di numeri identificativi da assegnare alle nuove carte incorso di produzione.

7.3.2 Produzione

L'IPZS, attiva le procedure necessarie ai fini della:

§ predisposizione del supporto fisico;§ inserimento nel supporto fisico della pellicola di banda ottica e del microprocessore;§ stampa del logo e degli elementi grafici costanti e di sicurezza;§ inizializzazione elettrica del microprocessore.

7.3.3 Inizializzazione

La sottofase di inizializzazione, una delle più delicate dell’intero processo di emissione,consente di trasformare i tre supporti previsti, in un unico elemento inscindibile.

Dopo la fase di integrazione fisica del supporto plastico, con la banda ottica ed ilmicroprocessore, l’inizializzazione provvede alla integrazione logica tramite l’apposizione di codiciunivoci.

Mentre risulta di immediata applicazione il codice apposto graficamente sul supporto fisico,l’inizializzazione di quelli informatici ha quale prerequisito la loro “formattazione” che, di fatto,consiste nella loro strutturazione in “directory” e l'impostazione delle condizioni di test necessarie adefinire i diritti di accesso alle directory.

Le directory, definite in dettaglio nei precedenti paragrafi, servono per tracciare tutte le fasi diinizializzazione e personalizzazione della Carta, per consentire l’installazione dei servizi qualificati eper normalizzare i dati identificativi del titolare, le informazioni alfanumeriche nonchè le immagini.


In particolare, IPZS provvede alla:

§ generazione della struttura dati interna della banda ottica;§ generazione della struttura dati interna del microprocessore;§ scrittura dei files elementari che riportano i dati specifici del microprocessore

(“Dati_processore), della banda ottica (“Dati_banda_ottica”) e del sistema operativo(“Parametri_APDU”);

§ scrittura ID_Carta;§ impostazione delle condizioni di accesso a tali file;§ scrittura del record dati (Rd) e di alcuni campi (1-6) di quello di controllo (Rc) relativi

all’operazione di inizializzazione. Il record di controllo deve contenere almeno:- ID_Carta;- Dati_Processore / Dati_Banda_Ottica;- Data di fabbricazione;- PIN P1 (per abilitare l’accesso in scrittura dei files elementari che devono essere

riempiti dal Comune al momento della formazione della carta) cifrato con la chiavepubblica del comune).

- Indicazione della Provincia e del comune cui la carta e’ destinata.§ inserimento del record dati e di quello di controllo in coda ad un file di richieste di

autorizzazione da inviare a SSCE;§ stampa dello sfondo, del Logo, del numero di carta (ID_Carta, quello generato da SSCE) e

degli altri elementi costanti;§ incisione grafica sulla banda ottica (Embedded Hologram) degli elementi costanti e

dell’ID_Carta;§ stoccaggio della carta.

7.3.4 Attivazione

Al termine della presente sottofase la carta d’identità risulta “attivata”, e diventa “documento inbianco”, ossia pronto alla fase successiva di formazione e rilascio, ad opera dei Comuni.

Durante la presente sottofase l’IPZS esegue le seguenti attività:

§ riceve da SSCE il file di approvazione per attivare il lotto di carte in lavorazione;§ inserisce le carte, che fanno parte del lotto autorizzato, nello/negli apparati per la lettura del

chip e della banda ottica e legge l’ID_Carta contenuto nei due supporti (la lettura inentrambi i supporti costituisce un ulteriore controllo sui dati inseriti);

§ trasmette a SSCE le associazioni ID_Carta/Provincia richiedente;§ invia le carte in bianco attivate alle Prefetture. Queste ultime sono, a loro volta, incaricate

della distribuzione nella provincia di loro competenza agli enti autorizzati alle procedure diemissione (Comuni E).

Al completamento di questa fase il data base di SSCE conterrà tanti record quante sono le cartein bianco in attesa di formazione. Tali record contengono già informazioni come il numeroidentificativo della carta (ID_Carta), la Provincia ed il Comune di destinazione.

Durante la fase di personalizzazione i campi di tali record verranno ulteriormente popolati con icodici fiscali (scritti in chiaro) dei titolari e con i dati identificativi (scritti in forma cifrata) degli stessi.


La cifratura avverrà, tramite un sistema automatico, utilizzando la chiave pubblica dellaQuestura, territorialmente competente, e quella del comune che ha rilasciato la Carta d’IdentitàElettronica.

7.4 Personalizzazione ed emissione delle carte

La formazione delle carte ed il loro rilascio è condotta direttamente dai Comuni .Nei paragrafi successivi le chiavi asimmetriche saranno indicate con la seguente notazione:

• Kpri-aut , chiave privata di autenticazione;• Kpub-aut, chiave pubblica di autenticazione;• Kpri-enc, chiave privata di crittografia;• Kpub-enc, chiave pubblica di crittografia.

7.4.1 Ricezione dei documenti in bianco (fa riferimento all’art. 12 del D.M.)

§ Il comune, per il tramite delle Prefetture della propria provincia, riceve i documenti in bianco;§ I documenti devono essere conservati dai comuni in appositi armadi di sicurezza,

possibilmente in locali ad accesso riservato.

7.4.1.1 Sottofase di Compilazione

§ Il Comune riceve i “documenti in bianco” da parte della Prefettura;§ tramite il software di sicurezza, le informazioni del titolare sono riportate dal comune nel sistema.

I dati sono quelli indicati in dettaglio al paragrafo 4.4.La fotografia può essere catturata direttamente, tramite videocamera digitale o digitalizzata permezzo di uno scanner.Anche per digitalizzare la firma del titolare può essere utilizzato uno scanner oppure può esserecatturata direttamente tramite tavoletta grafica.Per l’impronta digitale, laddove il comune decida di assumerla o il richiedente desideri inserirlanella propria CIE, e’ necessario utilizzare un lettore di impronte digitali (live scan);

§ Generazione della coppia di chiavi Kpri e Kpub (della carta) necessarie per garantire l’autenticazionein rete della carta e generazione del relativo PIN utente. La generazione di queste chiavi avvieneall’interno del microprocessore.

§ Cifratura simmetrica dei dati a 128 bit. La cifratura viene eseguita automaticamente dal softwaredi sicurezza. La cifratura e’ indispensabile per proteggere i dati durante la trasmissione al SSCEutilizzando la Kpub-enc del SSCE stesso con una chiave di trasporto da 128 bit generata in manieradinamica sessione per sessione;

§ Apposizione del bollo elettronico del comune, per mezzo della Kpri-aut (Comune). L’apposizione ditale bollo garantisce il mittente al SSCE;

§ Invio della richiesta di emissione carta d’identità al SSCE per via telematica


7.4.1.2 Sottofase di autorizzazione

La sottofase di autorizzazione viene effettuata dal SSCE quando, da un qualsiasi comune, riceveuna richiesta di rilascio di una nuova CIE . Vengono eseguite le seguenti attività:

1) SSCE riceve i dati raccolti dal comune;2) SSCE estrae, tramite la la propria Kpri-enc, il record dati;3) SSCE mantiene in chiaro codice fiscale, provincia e comune richiedente e cifra tutte le altre

informazioni con due chiavi: la Kpub-aut del comune richiedente e la Kpub-aut della Questuraterritorialmente competente;

4) SSCE esegue il controllo automatico di "non esistenza" sulla propria base dati, tramite i datiin chiaro e la Kpub della CIE;

a) Controllo positivo (es. CIE già rilasciata per quel codice fiscale, richiesta avanzata da uncomune diverso da quello previsto e soprattutto che la Kpub della CIE non sia identica aduna già certificata, etc.) viene rigettata la richiesta non vengono seguite ulteriori attività eall’ente emettitore viene ritornato un opportuno codice di errore .

b) Controllo negativo (la richiesta può essere soddisfatta) .5) SSCE trasmette l'esito dell'operazione di autorizzazione. I dati vengono inviati cifrati

utilizzando la Kpub-enc del Comune ed una chiave di trasporto a 128 bit generata sessione persessione e certificati con il bollo elettronico del SSCE (Kpri-aut di SSCE).

7.4.1.3 Sottofase di formazione

Sottofase di competenza dell’Ente emettitore che riporta i dati su tutti i supporti: microprocessore,banda ottica e grafici sul supporto fisico. La criticità maggiore sta nel fatto che, qualsiasiinconveniente possa verificarsi non deve mettere a rischio l’integrità dei dati (per es. scrivendoinfomazioni diverse sui vari supporti). Allo scopo si suggerisce di garantire agli strumenti informaticicontinuità elettrica.

1) E riceve il record dati validato da SSCE;2) memorizza i dati nel microprocessore;3) memorizza i dati nella banda ottica. Al fine di garantire l’allineamento delle informazioni il

lettore/scrittore di banda ottica dovrebbe avere la possibilità di leggere anche ilmicroprocessore. Al fine di consentire una identificazione sicura, e dare certezza sullaoriginalità della CIE, i dati memorizzati nella banda ottica devono essere quelli firmati con ilbollo elettronico del SSCE.

4) stampa grafica dei dati sul supporto fisico. Anche in questo caso sarebbe opportuno che lastampante sia in grado di leggere il microprocessore.

5) stampa del PIN utente su speciale carta chimica retinata, tale da garantire la riservatezzadell’informazione contenuta e di evidenziare eventuali tentativi di apertura.

7.4.1.4 Sottofase di rilascio


Anche questa sottofase e’ di esclusiva competenza dei comuni che:

1) rilasciano la CIE al cittadino che ne ha fatto richiesta;2) consegnano la busta contenente il PIN utente;3) comunicano a SSCE l’avvenuto rilascio tramite comunicazione telematica diretta.

7.4.1.5 Sottofase di verifica e controllo

La verifica ed il controllo sono le uniche attività sempre presenti in tutte le sottofasi dilavorazione della CIE, dal momento della produzione fino al loro rilascio e vengono condotte daSSCE. Per questo motivo tutti gli enti coinvolti nei vari momenti del processo devono disporre di unaconnessione telematica con il Sistema.

Ovviamente la verifica ed il controllo citato nel processo di formazione, non è riferito a quelloche verrà dettagliato nel capitolo successivo che, invece, si riferisce ai controlli effettuabili dallaPolizia come previsto dal Testo Unico delle Leggi di P.S.


8. Verifica delle carte di identità elettroniche (fa riferimento all’art. 6,comma 1 del D.M.)

Nel presente capitolo sono descritti in dettaglio i casi in cui è consentito l’accesso alle CIE ed alleinformazioni in esse contenute. Vengono, altresì, indicati gli organi competenti e le modalità diaccesso.

8.1 Conservazione del cartellino elettronico (fa riferimento all’art. 6, comma 3del D.M.)

Il processo di ammodernamento della CIE deve necessariamente portare ad una differenteinterpretazione di alcune delle norme precedenti, soprattutto di quelle destinate alla gestione delmodello cartaceo, ormai superato.

E’ pressoché intuitivo come non trovino ragione di essere le prescrizioni relative alla conservazionee consultazione della copia del cartellino presente in ciascuna Questura. L’obbligo previsto per iComuni di trasmettere copia del cartellino per ogni carta di identità rilasciata, viene sostituito dallaseguente procedura prevista per il nuovo cartellino elettronico:l i Comuni eseguono le attività di formazione e rilascio delle CIE;§ SSCE riceve comunicazione che è stata rilasciata la CIE e memorizza la copia elettronica, della

stessa, nell’archivio della Questura territorialmente competente. La copia elettronica, vienecifrata con la chiave pubblica della Questura stessa. Tale modalità consente di attendere alTesto Unico delle Leggi di P.S. che indica nelle Questura l’ufficio a cui è demandata laconservazione della copia delle CIE;

§ i controlli sulle CIE, una volta memorizzate, possono essere effettuati secondo le seguentimodalità:

- da qualsiasi operatore delle Forze di Polizia tramite controlli a vista, apparecchiature stand-alone (lettori di banda ottica) o transazioni a SSCE. In quest’ultimo caso, se la richiestaarriva da una Questura di una Provincia diversa da quella dove è stato rilasciata la CIE,l’operatore può, tramite il codice fiscale del titolare o il numero della CIE verificarnel’esistenza, il comune e la provincia in cui è stata rilasciata, non può vedere nel dettaglio leinformazioni della CIE;

- da un operatore della Questura nella cui Provincia è stata rilasciata la CIE. In questo casol’operatore può, tramite il codice fiscale del titolare o il numero di CIE, verificarnel’esistenza e, tramite l’inserimento della propria chiave privata, verificarne anche ilcontenuto nel dettaglio.

§ le Questure territorialmente competenti tramite SSCE conservano e consultano la copiaelettronica della CIE. Possono eseguire anche stampe e tutte le attività già possibili con lapassata gestione.

8.2 Interdizione dell’operatività della CIE (fa riferimento all’art. 6, comma 2 delD.M.)

Le carttarestiche principali della nuova CIE, che la differenziano dal vecchio modello cartaceo,sono rappresentate dalla presenza dei supporti informatici e dalla gestione centralizzata del flusso di


emissione. Entrambi gli elementi da un lato aumentano il livello di sicurezza del nuovo documento edall’altro offrono la possibilità di accesso a servizi telematicisia nazionali che locali.

Proprio questa nuova possibilità di accedere a servizi implica la necessità di dover interdire, più chein passato, l’utilizzo della CIE che potrebbe essere impiegata, in caso di furto o smarrimento, dapersone diverse dal titolare.

Nel seguito vengono descritte le modalità a cui è necessario attenersi in caso di furto o smarrimentodi una CIE.

§ il titolare telefona al numero verde e comunica l’avvenuto smarrimento/furto della CIE;§ per motivi di sicurezza, l’interdizione temporanea della CIE avviene dopo che è stata svolta

una successiva verifica telefonica;§ a seguito di tale comunicazione nel record relativo alla CIE viene apposto un “flag” e, per un

periodo di 7 (sette) gg, la CIE non è in grado di accedere a servizi;§ successivamente alla comunicazione telefonica, il titolare della CIE deve presentare regolare

denuncia ad un ufficio di Polizia;§ la denuncia viene trasmessa alla Questura della Provincia dove è stata rilasciata la CIE;§ la Questura inibisce, definitivamente, l’utilizzo in rete della CIE ed il titolare può richiedere un

duplicato, recandosi al comune;§ se durante i sette gg. di interdizione momentanea non viene applicata l’interdizione definitiva,

la CIE torna ad essere, nuovamente, "NON interdetta".

indice dei contenuti - fpaarchive.forumpa.it/archivio/0/200/220/228/allegato... · § schema per il...

Documents